Google twierdzi, że jego chatbot AI Gemini jest celem zakrojonych na szeroką skalę "ataków destylacyjnych"

Chatbot AI Google Gemini stał się celem wielkoskalowej kradzieży informacji, a atakujący bombardują system pytaniami, aby skopiować sposób jego działania. Jedna operacja wysłała ponad 100 000 zapytań do chatbota, próbując wydobyć tajne wzorce, które czynią go inteligentnym.

Firma poinformowała w czwartek, że te tak zwane "ataki destylacyjne" stają się coraz gorsze. Złośliwi aktorzy wysyłają falę za falą pytań, aby odkryć logikę stojącą za odpowiedziami Gemini. Ich cel jest prosty: ukraść technologię Google, aby zbudować lub ulepszyć własne systemy AI bez wydawania miliardów na rozwój.

Google uważa, że większość atakujących to prywatne firmy lub badacze, którzy chcą się wybić bez wykonywania ciężkiej pracy. Według raportu firmy ataki pochodziły z całego świata. John Hultquist, który kieruje Google's Threat Intelligence Group, powiedział, że mniejsze firmy używające niestandardowych narzędzi AI prawdopodobnie wkrótce spotkają się z podobnymi atakami.

Firmy technologiczne zainwestowały miliardy dolarów w budowę swoich chatbotów AI. Wewnętrzne mechanizmy tych systemów są traktowane jak klejnoty koronne. Nawet z zabezpieczeniami mającymi wykrywać te ataki, główne systemy AI pozostają łatwymi celami, ponieważ każdy z dostępem do internetu może z nimi rozmawiać.

W zeszłym roku OpenAI wskazało na chińską firmę DeepSeek, twierdząc, że wykorzystała destylację do ulepszenia swoich modeli. Cryptopolitan poinformował 30 stycznia, że Włochy i Irlandia zakazały DeepSeek po tym, jak OpenAI oskarżyło chińską firmę o wykorzystanie destylacji do kradzieży swoich modeli AI. Technika ta pozwala firmom kopiować drogą technologię za ułamek kosztów.

Dlaczego atakujący to robią?

Ekonomia jest brutalna. Zbudowanie najnowocześniejszego modelu AI kosztuje setki milionów, a nawet miliardy dolarów. DeepSeek podobno zbudował swój model R1 za około sześć milionów dolarów, używając destylacji, podczas gdy rozwój ChatGPT-5 przekroczył dwa miliardy dolarów, zgodnie z raportami branżowymi. Kradzież logiki modelu redukuje tę ogromną inwestycję niemal do zera.

Wiele ataków na Gemini było skierowanych na algorytmy, które pomagają mu "rozumować" lub przetwarzać informacje, powiedział Google. Firmy, które trenują własne systemy AI na wrażliwych danych – takich jak 100 lat strategii handlowych lub informacje o klientach – teraz stoją w obliczu tego samego zagrożenia.

"Powiedzmy, że twój LLM został wytrenowany na 100 latach tajnego myślenia o sposobie, w jaki handlujesz. Teoretycznie można by część tego zdestylować," wyjaśnił Hultquist.

Hakerzy państwowi dołączają do polowania

Problem wykracza poza firmy żądne pieniędzy. APT31, chińska rządowa grupa hakerska objęta sankcjami USA w marcu 2024 roku, użyła Gemini pod koniec ubiegłego roku do planowania rzeczywistych cyberataków na amerykańskie organizacje.

Grupa połączyła Gemini z Hexstrike, narzędziem hakerskim open-source, które może uruchamiać ponad 150 programów bezpieczeństwa. Analizowali luki w zdalnym wykonywaniu kodu, sposoby omijania zabezpieczeń internetowych i ataki SQL injection – wszystko wymierzone w konkretne cele w USA, zgodnie z raportem Google.

Cryptopolitan wcześniej poruszał podobne obawy dotyczące bezpieczeństwa AI, ostrzegając, że hakerzy wykorzystują luki w AI. Przypadek APT31 pokazuje, że te ostrzeżenia były trafne.

Hultquist wskazał na dwa główne obawy. Przeciwnicy działający przez całe wtargnięcia przy minimalnej pomocy człowieka oraz automatyzacja rozwoju narzędzi ataku. "To są dwa sposoby, w których przeciwnicy mogą uzyskać znaczące przewagi i przejść przez cykl wtargnięcia przy minimalnej ingerencji człowieka," powiedział.

Okno między wykryciem słabości oprogramowania a wdrożeniem poprawki, zwane luką łatkową, może się dramatycznie poszerzyć. Organizacje często potrzebują tygodni na wdrożenie zabezpieczeń. Z agentami AI znajdującymi i testującymi luki automatycznie, atakujący mogą działać znacznie szybciej.

"Będziemy musieli wykorzystać zalety AI i coraz bardziej usuwać ludzi z pętli, abyśmy mogli reagować z prędkością maszyny," powiedział Hultquist The Register.

Stawki finansowe są ogromne. Raport IBM z 2024 roku o naruszeniach danych wykazał, że kradzież własności intelektualnej kosztuje teraz organizacje 173 dolary za rekord, a naruszenia skoncentrowane na IP wzrosły o 27% rok do roku. Wagi modeli AI reprezentują cele o najwyższej wartości w tej podziemnej ekonomii – pojedynczy skradziony model graniczny może przynieść setki milionów na czarnym rynku.

Google zamknął konta powiązane z tymi kampaniami, ale ataki wciąż napływają "z całego świata," powiedział Hultquist. W miarę jak AI staje się coraz potężniejsze i coraz więcej firm na nim polega, spodziewaj się nasilenia tej cyfrowej gorączki złota. Pytanie nie brzmi, czy nadejdą kolejne ataki, ale czy obrońcy będą w stanie nadążyć.

Naostrz swoją strategię dzięki mentoringowi + codziennym pomysłom - 30 dni bezpłatnego dostępu do naszego programu handlowego